mercoledì 12 gennaio 2011

MUMBLE - La sicurezza di Android - 2

Come potete leggere nel mio precedente post uno dei maggiori problemi che gli smartphone Android devono fronteggiare è la frammentazione delle versioni del sistema operativo.

Giusto per riassumere, la situazione del versioning di Android è la seguente:
il 13 aprile 2009 esce la versione 1.5, nota come Cupcake
il 16 settembre 2009 viene rilasciata la 1.6, chiamata anche Donut
il 27 ottobre 2009 Google rilascia la versione 2.0, Eclair
il 12 gennaio 2010 arriva 2.1, sempre nota come Eclair
il 20 maggio 2010 esce la 2.2, nome in codice Froyo
il 6 dicembre 2010 è stata presentata la 2.3, Gingerbread
il prossimo rilascio atteso in primavera è la 3.0, Honeycomb

A complicare ulteriormente le cose c'è il fatto che questa serie di sistemi operativi sono stati inseriti su numerosi hardware diversi da produttori diversi che hanno scelto di aggiungere un layer di presentazione specifico. Tanto per chiarire le cose, HTC, ad esempio, con l'intento di personalizzare e arricchire l'esperienza utente, ha commercializzato una serie di telefoni, di varie versioni di Android, arricchiti dall'interfaccia proprietaria "Sense". Da un punto di vista commerciale questo è stato il modo per riuscire a competere efficacemente contro Apple; da un punto di vista della sicurezza, invece, è un incubo.

Già perché adesso, se qualcuno trova una vulnerabilità su una componente del sistema operativo, invece di produrre una patch, ne devono essere prodotte 6 (una per sistema operativo rilasciato) che poi devono essere passate ai fornitori di telefoni che, ne verificano la compatibilità con i vari hardware e con tutte le versioni dell'interfaccia di presentazione (ad esempio la Sense per HTC), eventualmente la modificano e alla fine mettono la patch in distribuzione. Il tutto si complica ancora per tutti i telefoni "brandizzati" cioè forniti con un marchio di un operatore telefonico che ha aggiunto funzionalità e codice proprietario; in questo caso sarà necessario un ulteriore passaggio.

Insomma un vero incubo... ma tutto questo è semplicemente una ipotesi, uno scenario possibile o invece è un qualcosa che si verifica nella realtà?

A fine novembre, Thomas Cannon, un esperto di sicurezza che lavora in Inghilterra, ha scoperto una grave vulnerabilità del browser di Android. Questa vulnerabilità può essere sfruttata creando delle pagine Web malevole che consentono di rubare i file contenuti nella scheda di memoria aggiuntiva inserita nel telefono!

Un bel problema davvero!

Thomas Cannon ha quindi informato l'"Android Security Team" che nel giro di pochi minuti l'ha ricontattato e ha cominciato a lavorare sulla soluzione. Purtroppo però, quella complicazione che abbiamo visto prima è reale e la situazione ad oggi è la seguente:
la patch che risolverà il problema è attesa a breve (nel frattempo sono passati quasi due mesi...) ma, ovviamente non potrà essere distribuita direttamente agli utenti (se non a quelli che hanno un telefono cosiddetto Google Experience, senza cioè nessuno strato di personalizzzione, ad esempio il Nexus One), dovrà essere girata ai produttori di telefoni e fare tutto quel giro che abbiamo visto prima... fantastico, no?

La soluzione che viene suggerita da varie fonti (ad esempio Sophos) è, a questo punto, realistica ma un po' triste... affidarsi a applicazioni di terze parti che possono essere aggiornate dai produttori senza effettuare particolari procedure. Quindi, in questo caso, si suggerisce di affidarsi a browser di terze parti, anche se non c'è garanzia che siano immuni da questa vulnerabilità.

Per adesso mi sono soffermato solo su Android, ma la situazione degli altri vendor, anche se con problematiche diverse, non sembra essere migliore... come messo in evidenza di recente dal Wall Street Journal.

E pensando ai dati che teniamo sui nostri telefoni, non c'è da stare allegri...

Se ancora non siete preoccupati a sufficienza, qui trovate un video, prodotto da Cannon, che mostra la vulnerabilità in azione.

-----------------------------------------------------------------------------------------------
Aggiornamento 14 gennaio 2011
Un bel post (in francese) sul blog di Conix Security con un altro video che mostra la vulnerabilità in azione e alcune considerazioni che arricchiscono quanto detto sopra.

Nessun commento:

Posta un commento

http://www.wikio.it